Netzwerksicherheit als Plug-in: gateProtect-Appliance im Test

Einkommende Verbindungen aus dem Internet sind standardmäßig geblockt. Das gilt auch für das ICMP-Protokoll, das unter anderem für Ping verwendet wird. Einkommende Verbindungen, beispielsweise für einen Mailserver, muss man einzeln erlauben. Dazu wird ein DMZ-Objekt definiert. Im Fall eines Mailservers leitet man TCP-Port 25 aus dem Internet an den Mail-Server weiter.

Grundsätzlich werden alle ankommenden und ausgehenden Pakete auf Viren gescannt. Dazu verwendet gateProtect die Engine und die sich selbst aktualisierende Datenbank von Kaspersky. Das ersetzt wie bei allen Appliances nicht den Virenschutz auf Client- und Server-Maschinen. Immer wenn eine End-To-End-Verschlüsselung verwendet wird, kann die Appliance keinen Scan durchführen.

E-Mail wird zusätzlich nach Spam durchsucht. Technisch verwendet die Appliance dafür einen SMTP-Proxy, der den Datenverkehr auf TCP-Port 25 automatisch abfängt. Die Spamdatenbank wird ebenfalls automatisch aktualisiert und basiert auf Daten, die von großen E-Mail-Providern stammen. Geht dort eine große Anzahl gleichlautender E-Mails ein, so besteht Spamverdacht. Diese Methode ist recht zuverlässig, allerdings auch ein wenig anfällig gegen False Positives, da Opt-In-Newsletter manchmal als Spam erkannt werden. Whitelists helfen, dieses Problem zu reduzieren.

Neben der Konfiguration auf Portebene ist die Appliance in der Lage, die Protokolle HTTP, FTP, POP3, SMTP und DNS auf der Layer-7-Ebene zu erkennen. Das erlaubt beispielsweise, dass sich Nutzer mit Webservern verbinden können, die nicht auf dem Standard-Port 80 laufen. Ebenso sieht man so, ob Malware versucht, den Standard-Port 80 für andere Protokolle als HTTP zu verwenden. Schadprogramme, etwa Botnets, die ihre Befehle per HTTP-Tunnel empfangen, werden auf diese Weise allerdings nicht identifiziert.

Da Angreifer von außen vielfach selbstentwickelte Layer-7-Protokolle verwenden, sollte die Protokollerkennung nur dazu verwendet werden, Nutzern die Verbindung zu erlauben, falls ein Protokoll sicher erkannt wurde. Unbekannte Protokolle auf Nicht-Standard-Ports sollte man grundsätzlich verbieten, wenn man auf Nummer sicher gehen möchte.

Schwierig zu entscheiden sind Dinge wie der SSH-Port 22. Da die Firewall den SSH-Handshake nicht sicher erkennt, kann eine eingeschleuste Malware darüber ausspionierte Daten „nach Hause“ schicken. Sperrt man hingegen den Port, so können Benutzer kein SSH verwenden. Das gilt dann automatisch auch für den Filetransfer mit SCP oder SFTP.

Zu den ausgereiften Funktionen gehört die VPN-Verbindung zwischen Standorten, die mit UTM-Appliances von gateProtect ausgerüstet sind. Ebenso ist eine VPN-Einwahl von mobilen Mitarbeitern mittels des mitgelieferten VPN-Clients möglich.

gateProtect unterstützt die Protokolle IPSec und VPNs mittels SSL/TLS. PPTP ist ebenfalls möglich, hauptsächlich um Windows-Clients den Zugang ohne zusätzliche Software zu ermöglichen.

Ebenso kann man VPNs zwischen Standorten herstellen, die nicht über gateProtect-Appliances angebunden sind. Für die VPNs der Hersteller Cisco und Funkwerk ist beim gateProtect-Support Know-how vorhanden. Bei anderen Herstellern muss man unter Umständen ein wenig Zeit in die Konfiguration investieren.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

So günstig & effizient war Content Produktion noch nie: Neues Content System erobert deutschen Markt

Kontinuierliche Content Produktion und Markenaufbau sind essentieller Pfeiler von langfristigen Unternehmenserfolg. Das ist mittlerweile auch…

4 Tagen ago

Lenovo übertrifft die Erwartungen und hebt Prognose an

KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…

4 Tagen ago

Bedrohungsakteure betten Malware in macOS-Flutter-Anwendungen ein

Googles App-Entwickler-Kit dient der Tarnung des schädlichen Codes. Der Sicherheitsanbieter Jamf hält die Schadsoftware für…

4 Tagen ago

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

1 Woche ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

1 Woche ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

1 Woche ago